ニュース
» 2007年12月19日 14時54分 UPDATE

Google Toolbarに未パッチの脆弱性

この脆弱性を悪用すると、ユーザーをだまして不正なツールバーボタンをダウンロードさせることが可能になる。

[Ryan Naraine,eWEEK]
eWEEK

 Google Toolbarにダイアログ偽装の脆弱性があり、これを悪用すると不正なファイルを実行したり、個人情報を盗むことが可能になってしまうと、セキュリティ研究者アビブ・ラフ氏が警告している。

 定期的にソフトの脆弱性を発見、報告している有名ハッカーのラフ氏は、細工をしたWebページを使って、ユーザーをだましてGoogle Toolbarに不正なボタンを追加させる方法を発見した。

 同氏はIMによるeWEEKの取材に応え、複数のバージョンのGoogle Toolbarで、ユーザーが新しいツールバーアイコンやボタンを追加する時に、偽装した情報をユーザーに提示することが可能になっていると語った。

 「これにより攻撃者は、自分の作ったボタンを信頼できるドメインのものだとユーザーに思いこませることができる。このボタンは不正なファイルのダウンロードやフィッシング攻撃に利用できる」とラフ氏はアドバイザリで述べている。

 eWEEKはInternet Explorer(IE)向けGoogle Toolbar 5β版でこのバグを確認した。ラフ氏は、IEとFirefox向けの製品版(Google Toolbar 4)も影響を受けると指摘している。

 Googleには通知済みで、同社はフィックスを開発中だと同氏は言う。

 「攻撃者はこの脆弱性を利用して、標的を信用させ、ボタンを追加させてそれを利用することができる。被害者はそのボタンがダウンロードするファイルを信用してしまったり、個人情報を入力してしまう。Google Toolbarの新しいβ版では、ユーザーにボタンをクリックするよう数秒おきに通知することも可能だ」(同氏)

 同氏は、特別に作成したWebページを使って、サードパーティーのツールバーボタンをGoogleドメインからダウンロードしているとユーザーに思いこませる方法を示すコンセプト実証コードを公開した。

 フィックスが提供されていないため、Google Toolbarユーザーは新しいボタンの追加を避けるようラフ氏は勧めている。

関連キーワード

Google | 脆弱性


原文へのリンク

Editorial items that were originally published in the U.S. Edition of “eWEEK” are the copyrighted property of Ziff Davis Enterprise Inc. Copyright (c) 2011. All Rights Reserved.

ピックアップコンテンツ

- PR -

注目のテーマ